我国工控安全现状及面临的挑战

摘 要：工业控制系统（ICS）的安全问题是关系到我国众多企业能否顺利实现智能化转型升级，增强企业核心竞争力的关键问题。文章分析了我国工控系统信息安全现状及发展趋势，提出了相关的对策与建议。

关键词：工业控制系统；系统安全

中图分类号：120.5099 文献标识码：A

1 引言

工业控制系统（Industrial Control System， ICS）是由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件共同构成的信息系统。工控系统是确保工业技术自动化设施、过程控制和监控的业务流程管控等工业系统安全运行的保证。一般来说，工控系统的核心组件包括数据采集与监控系统（SCDA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备（IED）和确保各组件通信的接口等技术系统。工控系统是制造、电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“神经中枢”，当前超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。

2 工控系统成为新的安全防护重点领域

在智能制造时代，随着接入信息系统的增加，工控系统的安全问题体现的更加突出。现代工业控制系统在应对传统安全威胁的同时，还面临着来自木马、病毒、黑客入侵等网络安全威胁。根据工业安全事件信息库RISI统计，截止到2011年10月，全球已发生200余起针对工业控制系统的攻击事件[1]。随着信息技术在工业领域的大规模应用，针对工业控制系统的病毒、木马等攻击行为大幅度增长，有些安全事故，会对人员、设备和环境造成严重的后果，工控系统信息安全问题变成了阻碍制造业转型升级和社会公共基础设施治理方面的重要障碍。尤其是在各行业大规模使用机器人等系统之后，工控系统的连接设备将呈指数式增加，工控系统的安全事件将会呈现快速发展的态势。尤其是工业互联网、云制造等技术实施，工控系统安全不仅将面临终端设施增加、网络环境复杂的挑战，而且还将面临系统综合风险增加，发生安全事故的成本不可控等更大的风险。

例如2007年，加拿大某水利SCADA控制系统被入侵，破坏了取水调度的控制计算机系统；2008年，波兰某城市地铁系统被入侵，通过电视遥控器改变轨道扳道器，致四节车厢脱轨；2010年，西门子首次监测到专门攻击该公司工业控制系统的Stuxnet病毒，发现了专门针对西门子工控系统的震网病毒；2010年，伊朗政府宣布布什尔核电站员工电脑感染了Stuxnet病毒，造成核反应堆设备大面积受损；2011年，黑客入侵美国伊利诺伊州城市供水系统的数据采集与监控系统，导致该系统的供水泵遭到破坏；2011年，微软称最新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据；2012年，两座美国电厂遭USB病毒攻击，病毒感染了工厂的工控系统，导致相关数据被窃取。2012年，发现攻击多个中东国家的恶意程序Flame火焰病毒，它能收集各行业的敏感信息；2010年齐鲁石化和2011年大庆石化的炼油厂装置控制系统分别感染Conficker病毒，造成控制系統服务器与控制器通讯不同程度地中断[1]。而2017年爆发的WannaCry病毒，除了有大量办公网络被攻击和感染外，还有多个全球知名的工业设施由于遭受WannaCry感染而出现故障或遭受干扰。

3 工控安全的新特点

由于工业控制系统网络使用专门的系统和协议，而且大多智能制造系统会涉及到不同层面，不同类型，以及不同系统之间的集成，因此其面临的安全问题有自身的特点。尤其在智能制造发展的新时期，工控安全更加体现出了自身的特点，需要新的建设理念和技术来保证得到有效实施。

3.1 工控系统涉及的范围广泛，安全工作量呈现指数型上升

传统基于的信息安全大多数集中在传输层、数据交换层等技术层面，以及数据应用等层面，而工控安全更侧重于工业过程层及过程控制层。信息安全项目需要一种有效和切实可行的机制，包括人员、规程和技术。随着工控系统范围的扩大以及监控重心的转移导致了安全复杂性的指数级上升。而黑客对工控网络的攻击会从工业控制系统的网络、协议和系统的特殊性入手，通常会从企业的公开信息、轮班时间表、合作服务和贸易往来，尤其是企业供应商所提供产品的协议规范等入手寻找安全漏洞，找寻可乘之机。这样的攻击特点导致了企业防不胜防，不能依靠单纯技术防范来实现工控系统的安全，而应当强调对工控系统的综合立体的多层面、多角度的管理。

3.2 工控系统对于实时性要求较高，传统的安全手段使用受限

工控系统有很多特点，但是从安全的角度考虑，工控系统与一般的信息系统相比，其对实时性的要求相对较高，而且不能为了安全需要直接关机。实时性的特点导致该类系统不适合使用一般的加密和解密等手段进行安全管理。因为加密和解密本身要占用计算资源，算法加密后，会不会影响生产的实时性，这就必须要经过严格的理论证明和实践测算，要经过较长时间的测试才能够决定工控系统是否可以使用加密手段进行安全防护。即使使用加解密技术对工控系统进行安全管理，其使用范围也会受到相应的限制，很难在近期内获得实质性的应用推广。而要对系统进行安全扫描，由于很多工业控制系统的网络协议对时延非常敏感，如果硬扫描，则可能会导致整个网络瘫痪，限制了安全扫描在工控系统中的应用。防火墙技术等传统的安全技术由于工控系统的实时性要求，不能随意中断系统，以及移动互联网的大范围使用等而受到使用的限制。鉴于这些传统安全技术和手段在工控系统安全防护中受到限制，因此需要开发新的技术体系来应对日益复杂的安全挑战。

3.3 针对工控系统的攻击更加具有针对性和目的性

针对工控系统的攻击来自多种渠道，如黑客、职业罪犯，以及具有特定目的的竞争对手等，他们一般采用网络攻击的方式对系统进行远程攻击。而遭公司解雇或对公司不满的员工，则可能利用自己的职务之便，直接对系统进行破坏，甚至从内部对系统发起攻击。企图伤害公司信誉或盗窃公司机密的竞争对手，则会有选择性地对公司系统进行攻击。攻击有时候是明显的，能够发现某些地方出了问题，有时候是隐秘的，如某人潜入一台控制器、PC或通信设备中，偷听会话，窃取数据，甚至进行破坏操作。这样具有“潜伏”性质的攻击很可能持续较长的时间。随着制造系统智能化程度的提升，系统的脆弱性明显增加，攻击的手段会更加多样，而且攻击的目的也日趋复杂，随意性、突发性、偶然性的攻击将会明显增加，个别员工心情的不舒畅可能也会导致系统对系统的误操作而出差错。

3.4 攻击的门槛会不断降低，安全方面的挑战凸显

传统意义上，信息安全一般只关注信息系统的核心组件，如突出网络、交换机、数据库、应用软件、服务器等主要组件安全的重要性，但对于工控系统来说，工控系统的外围组件，如传感器、传动器、智能电子设备、可编程逻辑控制器、智能仪表、远程终端设备等组件的安全防护非常重要和突出。其实从安全的角度考量，这些外围设备很多都内置有与局域网相联的网络接口，采用的是TCP/IP协议，并且与控制系统的很多核心层面相联。这些设备运行时还会有一些调试命令，如Telnet、FTP等都会在智能制造系统中存在。这些设备在遭受攻击时，如未能及时屏蔽则会酿成重大的灾害；而如果内部人员从内部发起攻击，如果存在相应的监控漏洞，则会非常容易造成对系统的影响。这种情况在网络服务器上很常见，网络服务器一般隐含有一项特殊的功能，即允许用户通过定位某个网址重新启动远程终端设备（RTU），以方便一些特殊的操作。所以对于一些重要性的工控系统而言，便不能设置超级用户，而且要系统进行有效的分割，以避免误操作，避免有意的攻击对系统造成更大范围的影响。

4 当前我国工控安全现状

站在智能时代的入口，我国的工业企业正处于智能化转型升级的关键时期，同时工控安全也将面临前所未有的挑战。如果安全方面的问题得不到有效解决，我国企业网络化、数字化、智能化的转型升级就不可能顺利实现。从目前我国企业，尤其是制造企业的安全保护建设情况来看，我国工控安全才刚刚起步，面临巨大的挑战，企业面临的安全问题不容乐观。

4.1 旧账未补，又添新账，我国工控安全建设缺口巨大

我国企业发展层次不齐，安全缺口巨大。而随着两化深度融合的不断推进，工业控制系统覆盖到了企业的研发设计、生产装备、流程管理、物流配送、能源管理等诸多的模块；而且信息系统建设正在从数字化、网络化迈向智能化；信息通信技术正在从单项业务应用向多业务综合集成转变，从单一企业应用向产业链协同应用转变，从局部流程优化向全业务流程再造转变，从传统生产方式向柔性智能生产方式转变。但是当前我国大量工控系统处于“裸奔”状态，同时又与IT网络系统存在互联，使得工控系统的安全状况极为脆弱。例如，WannaCry本身并非专门针对工控系统的勒索软件，但是在爆发期间也有大量工控系统被连带攻击，导致控制系统瘫痪、企业停产等严重后果。

这主要是因为我国大量企业所开展的转型升级换代工作，主要是在原有工业控制系统中，增加通信模块，将工业生产数据实时传输给生产管理系统，提高生产效率；以及在原来相对独立甚至封闭的工业控制网络里，增加路由网关设备，保持相关生产系统间的联动以及生产管理系统的实时监控。这样不是基于一个统一的整体系统来进行设计，导致在工控系统设计时很少，甚至就根本没有考虑到安全方面的因素。工控设备（如PLC、DCS等）以及工控协议本身普遍在设计之初就较少考虑信息安全方面的问题。工控设备主要关注的是功能安全，系统的稳定性及可靠性等方面的问题。

互联网通常通过加密、身份认证等方式来保证协议传输的安全性，如SSH、HTTPS协议；而工控协议基本都是采用明文方式传输，并且缺少身份认证的支持，这就使得工控系统的信息安全比传统信息系统的安全存在更大的风险。而较早建立的工控系统很少有与外网进行信息交互的需求，主要采用物理隔离的方式部署，因此即使存在问题，也没有暴露出来，但是在更大范围接入网络之后，安全问题就容易集中爆发出来，同时也会引入新的风险。

4.2 大量核心设备依然依赖进口，不能实现自主可控

我国绝大部分工控系统的建设过程中，大型系统集成项目由国外厂商参与实施，并且其中关键组件集成的实现细节不予公布。目前我国工控产品的核心技术受制于人，不排除进口的电子设备、制造设备、工控开发软件等工控产品中留有后门、木马的可能性，在未来的信息战中潜在风险巨大。

在协议层面，工业控制方面我们采用的是国外的主流的协议，比如MODBUS、工业以太网、西门子S7都是用了国外的协议。即便是国内有自主品牌的产品，为了和工厂中已经运行的设备进行通信，被迫使用国外协议。因此从协议层面，当前已经受制于人。在厂商方面，工业控制系统的业务条件风格非常明显。对于工控系统的使用者来说，目前来看，比如国外的西门子、罗克韦尔等，他们已经垄断了自己擅长的核心业务场景，一旦企业选择供应商，为了节省自己的资金，在绝大多数情况下，很难在一些环节中被第三方加入更换供应商。国内工控发展时间不长，需要熟悉业务场景、研发的过程，因此能力还需要不断加强。从厂商來讲，国产的自主可控的还难以满足当前工控系统的要求。

在技术方面，国内企业还没有掌握核心技术。对相关核心技术的掌握有待进一步完善，很难与国外厂商进行正面的竞争。在工控行业的自主可控的设备中，比如PLC、组态软件，包括现在操作系统，这些产品还需要国家下大力去投入和扶持。如果不加大力度扶持，短时间内，国外产品垄断的现状很难摆脱。

4.3 与工控安全相关的管理有待进一步提升

据ICS-CERT及DHS CSSP对工控软件脆弱性进行的评测分析，工业控制系统软件的安全脆弱性主要涉及了错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面，这些脆弱性对工业控制系统的正常运行具有极大威胁[2]。这些安全方面的问题与企业的管理问题，以及与员工的安全素质有直接的联系。当前我国企业管理在一定程度上还不能够适应智能制造对员工的要求。

另外，大多数工控协议在设计之初，主要关注效率以支持节约成本方面的需求，关注实时性以支持精确制造方面的需求，关注可靠性以支持操作鲁棒性方面的需求，为此基本放弃了如认证、授权和不可抵赖等需要增加开销的安全特征和功能。但是，如果恶意代码进入工控系统便可利用这些协议漏洞进行破坏。因此，在当前背景下，企业在员工培训、管理改进方面的滞后性就显得更加明显，尤其在安全方面的投入欠缺显得更大，管理方面的不足也更加凸显，这些都对我国的工控系统安全造成影响。

4.4 从业人员素质亟待提高，尤其是安全防范意识亟待提高

事实上就工控系统安全来说，人的因素和管理的因素是其中非常重要的因素。大部分工控系统是与外部网络实现不同程度隔离的，这是让企业管理者产生相应错觉的重要原因。由外网计算机到工控内网计算机的传播过程主要是利用人的因素，是由管理方面的漏洞所引发的。即便个人计算机与工控的系统是物理隔离的，但也可以通过U盘实现蠕虫病毒的传播。在伊朗的核设施中，管理网和控制网在物理上是完全隔离的，但是病毒仍然由外界进入管理网，再传播到控制网，这不是由一个传播者实现的，而是通过多个用户的传播达成的，是借助人的多种失误和管理方面的多方面漏洞实现的。也就是说，虽然做到了物理隔离，但是人的安全意识差，给这种渗透带来了攻击的机会。因此企业在加强制度方面的安全管理的同时，还需要从根本上加强对从业者安全意识的提升。

5 工控安全未来发展形势与对策分析

5.1 我国工控安全形势严峻

从当前技术和产业发展的趋势来看，我国工控安全方面的隐患还没有完全显现出来，未来存在巨大的安全隐患。2017年是工控信息安全事件最集中爆发的一年，而未来面临的安全形势将更加严峻。根据相关统计，2017年发现并上报了数百个工控信息系统的新漏洞，并且这种势头依然呈现增加的态势。这些安全问题从技术角度来看，主要集中在工控系统和工艺流程中，主要通过对工业系统进行数据感染，并对系统发起定向攻击（例如，Shamoon2.0/StoneDrill等病毒）。自从震网（Stuxnet）病毒曝光以来，研究人员首次发现了恶意工具包CrashOverride/Industroyer，一种用于攻击物理系统的新型网络工具。然而，2017年工业系统遭遇的最严重威胁是加密“勒索软件”攻击。全球63个国家的大量攻击被拦截。WannaCry和ExPetr毁灭性勒索软件攻击似乎使工业企业对关键生产系统防护的态度开始发生转变。

根据SecureList预测，2018年工控安全将会面临几个方面的风险，包括恶意软件及恶意工具不断出现、地下黑市提供攻击服务、定向勒索攻击、工业间谍等攻击工具。虽然新型攻击和入侵工具将会不断出现，但从目前来看，犯罪团伙尚未找到攻击工控系统盈利的办法，还没有形成产业链条，因此针对工控系统的攻击还没有大规模地爆发，客观上抑制了攻击活动的开展[3]。

5.2 企业要提高对工控安全的认识，加强对员工的安全培训

传统意义的工控安全主要是指企业的运行安全，是在假定不存在恶意行为的前提下保证工控系统运行中不出现生产事故，强调工控系统的功能性安全。而现在的安全问题主要是要防范攻击者的恶意行为。企业要认识到工控系统安全的必要性，要做好相应的防护策略。同时要落实标准规范，完善网络安全管理制度，尤其是企业内部的安全管理规范。政府相关部门也要出台相关的工控安全相关的条例、工作指南、管理办法、防护指南等，毕竟信息安全是一个产业行为，而不是个别企业的行为所能解决的。工业企业要参考这些法规、规范等，落实本企业的网络安全防护。当然，对于普通用户而言，要提高安全意识，尤其是不要随意插拔移动介质，毕竟U盘等移动介质的不当使用是恶意软件渗透的主要途径。

作为企业信息安全管理的重要组成部分，制定满足业务场景需求的安全策略，并依据策略制定管理流程，是确保工业控制系统稳定运行的基础。参照NERCCIP、ANSI/ISA一99、IEC 62443等国际标准，当前我国制造企业工控系统安全策略与管理流程的脆弱性集中表现在七个方面：（1）缺乏工控系统的安全策略；（2）缺乏工控系统的安全培训与意识培养；（3）工控系统缺乏安全架构与设计；（4）缺乏根据安全策略制定的规范、可备案的安全流程；（5）缺乏ICS安全审计机制；（6）缺乏针对ICS的业务连续性与灾难恢复计地；（7）缺乏针对ItS配置变更管理等几个方面。

5.3 工控安全要充分利用物联网、人工智能、大数据的发展带来的机遇

这些技术的应用为工控系统安全带来了挑战，毕竟这些技术的大范围应用极大地扩张了工控安全的范围。但是从另外一个层面为制造企业在工控安全的实践提供了更多的手段和可能性。首先，物联网有很大部分的应用场景在工控上，从工控安全角度来说，物联网安全一定程度上可以应用于工控安全领域，极大地扩大了工控安全的范围。但是物联网技术在相关安全方面的应用，也能够极大地提高技术管控的精确性，如随着物联网的发展会出现很多的安全问题，那我们也有很多研究的机会。

大数据会对工控安全有很强的支持作用。之前，我们考虑网络安全的分析是局部的网络安全，现在有了大数据做支持，对于攻击行为的分析就可以不仅仅限于局部数据。如果放在互联网大的背景中，就拥有了很多安全数据来源，这些数据可以告诉我们，一次攻击行为背后的攻击者之前做过哪些事、有哪些关联攻击者、其他攻击行为特点等。通过多源的数据分析，才能以更加全面的视角审视安全事件，并进一步给防御者提供有效的预警预测。

人工智能的发展对于工控安全有很大支持。比如可以通过做了一些聚类分析，并利用深度学习对企业内部的流量进行分析。因为大量的数据分析仅靠人的分析是无法完成的，而通过人工智能的支持，就能大大提高分析效率并发掘潜在的规律。但是，在现阶段人工智能的作用依然有限，例如一些通过人工智能挖掘出来的结果是无法在防御中直接使用的，还需要工控安全专家去决策、判断这些结果背后隐藏了什么实际意义。人工智能目前只能起到一个初步筛选的作用，作为网络安全专家的助手，最后的决策还需要由人来做。

5.4 加强对关键及核心工控安全领域的技术研发

目前工业环境中已广泛使用商业标准件（COTS），除了某些特殊环境，大部分通讯采用的是以太网和TCP/IP协议；ICS、监控站以及嵌入式设备的操作系统也多以Microsoft和Linux为主，而且很多工业控制系统是基于Windows系統开发，那些专门破解Windows账户信息的方法和工具可以应用到工业控制系统上。尤其是运行在WindowsOLE和DCOM上的OPC系统，只要通过主机认证就可以全面控制OPC环境。因此如果无法获得底层协议认证，也可以通过枚举方式破解控制系统内其他用户和角色，如HMI用户、ICCP服务器凭据（双向表）、主节点地址（任何主/从工业协议）、以往数据库认证信息等内容。这就导致我国工控系统没有形成我国的特点，很容易遭受攻击。

而在具体研发方面，可以基于我国工控系统安全的现状，开发新的工控系统。如研制新型的工业防火墙，综合运用“白名单+智能学习”技术建立工控网络安全通信模型，阻断一切非法访问，仅允许可信的流量在网络上传输技术，为工控网络与外部网络互联、工控网络内部区域之间的连接提供安全保障。借助物联网技术构建起工业互联网安全态势感知系统，建立协同联动机制，实现全球工控设备信息和开放常规服务的隐匿探测及全局采集，同时通过准确定位工控设备，提升整个工业互联网的安全防护水平。可以鼓励相关企业构建新一代工控安全监控平台，主要帮助广大的生产制造企业提供网络空间工控网络体系规划论证和建构、安全能力测试评估、安全产品研发试验、产品安全性测试，以及相关人才教育培养、相关标准体系建设等基于新型工控系统安全需要的响应任务。

5.5 发展网络安全方面服务类的中间机构

毕竟安全领域还是一项涉及面较广，对专业要求较高的新兴行业，所以政府可以鼓励发展一些专业的工控安全服务机构，为广大生产制造企业提供信息安全方面的服务。

以色列网络安全产业，尤其是工控安全领域的厂商，注重运营服务类产品和平台的建设，通过模型分析和诊断，来帮助用户提升安全意识，增加整个行业的安全水平，而且工控安全产品一般是依托于专家式的服务体系和标准进行推广。以色列经济和工业部的首席科学家办公室一直以来致力于鼓励技术创新和创业，对以色列的网络安全行业，尤其是工控安全厂商中具有强大影响力的解决方案提供厂商给予必要的支持，在服务本国企业的同时，还向全球市场推广该企业的产品，工控安全厂商ThetaRay就是其中的受益者之一。

6 结束语

對于工业企业来说，工业网络风险保险正逐渐成为风险管理的不可或缺的一部分。以前，网络安全事件与恐怖事件一样不会在保险合同中体现。然而，当前形势正在发生变化， 网络安全公司和保险公司都采取了新举措。2018年，安全审计/评估和事件响应均呈上升趋势，促使工业设施负责者和经营者提升网络安全意识。这种商业保险的出现在一定程度上能够减缓企业在智能化转型升级过程中面临的安全风险，有利于形成鼓励企业进行智能化转型升级的商业环境，降低企业转型升级的风险。

参考文献

[1]夏春明，刘涛，王华忠，吴清.工业控制系统信息安全现状及发展趋势[J].信息安全与技术，2013，4 （2） ：13-18.

[2]邢高峰.2014工业控制系统的安全研究与实践[J].计算机安全，2014，5：36-62.

[3]2018工控安全发展趋势 8个方向直击工业控制系统要害[ED/OL]. http：//toutiao.secjia.com/2018-ics-predictions.

[4]以色列工控系统网络安全措施及其启示2018-2-24[ED/OL]. https：///news/136547077.shtml.